Datenschutz nach dem Brexit: Was erwartet Unternehmen?

Bis zum Brexit ist Großbritannien ein Mitgliedstaat in der Europäischen Union. Bis dahin gilt somit auch die Datenschutz-Grundverordnung. Am 31. Januar 2020 tritt Großbritannien um 24 Uhr aus der Europäischen Union aus. Datenschutzrechtlich wird das Vereinigte Königreich sodann zum „Drittstaat".

Übergangsphase bis 31. Dezember 2020

Allerdings beginnt am 1. Februar eine Übergangsphase bis zum 31. Dezember 2020, in der die Übermittlung personenbezogener Daten der EU nach Großbritannien ohne weiteres zulässig ist. Während der Brexit-Übergangsfrist gilt die DSGVO in Großbritannien weiterhin als unmittelbar an-wendbares Recht. Großbritannien wird auf Grundlage einer vertraglichen Vereinbarung für diese Zeit wie ein EU-Mitgliedstaat behandelt (Art. 46 Abs. 2 lit. a DSGCO).

Die EU und Großbritannien verhandeln in der Übergangsphase die künftige Zusammenarbeit im Datenschutz. Das Ergebnis der Verhandlungen und somit die Rechtslage ab dem 1. Januar 2021 ist derzeit ungewiss.

Was bedeutet der Brexit für Unternehmen in Deutschland?

Der Brexit wird relevant, wenn personenbezogenen Daten von Deutschland nach Großbritannien übermittelt werden oder wenn dort ansässigen Unternehmen Zugriff auf diese Daten gewährt wird. Es sind vor allem solche Unternehmen betroffen, die eine Tochtergesellschaft oder Nieder-lassung im Vereinigten Königreich haben oder die Dienstleister in Großbritannien in Anspruch nehmen, z.B. Cloud-Dienste.

Was kommt nach der Übergangsphase?

Wird während der Übergangsphase keine Vereinbarung zum Datenschutz getroffen, greift für Großbritannien der Drittstaat-Status. Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums sogenannte „Drittländer". Das bedeutet, dass personen-bezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen.

Nach der Übergangsphase bestehen datenschutzrechtlich folgende Optionen. Die EU-Kommission kann Großbritannien als ein sicheres Drittland anerkennen. Dann können personenbezogene Da-ten auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DGVO) übermittelt werden. Ohne einen solchen Angemessenheitsbeschluss sind für eine Datenübermittlung nach Großbritannien als Drittstatt datenschutzrechtliche Garantien zu gewährleisten: In Betracht kommen insbesondere der Abschluss von Standardschutzklauseln, verbindliche interne Datenschutzvorschriften oder die Einwilligungen der Betroffenen (Art. 44 ff. DSGVO).

Was ist zu tun?

Auch wenn die Übergangsphase nach dem Brexit bis zum 31. Dezember 2020 als lange Zeit er-scheint, ist es sinnvoll, sich für den Fall vorzubereiten, dass Großbritannien danach ein unsicheres Drittland wird. Etwaige Anpassungen des Datenschutzkonzepts sowie das Sicherstellen der erfor-derlichen Garantien nach Art. 44 ff. DSGVO können einige Zeit in Anspruch nehmen.

Zunächst sind die Prozesse zu identifizieren, in denen personenbezogene Daten nach Großbritan-nien übermittelt werden. Im nächsten Schritt ist mit britischen Unternehmen zu klären, welche Garantien für die Datenübermittlung gewährleistet werden soll (z.B. Standardschutzklauseln, Ein-willigung). Des Weiteren sind die Anforderungen des Art. 44 ff. DSGVO an die Übermittlung in Dritt-staaten zu erfüllen: In der Datenschutzerklärung ist darauf hinzuweisen, wenn personenbezogene Daten in Drittländer übermittelt werden, hier Großbritannien (Art. 13, 14 DSGVO). Zudem ist die Rechtsgrundlage der Datenübermittlung anzugeben. Bei der Erfüllung von Auskunftsersuchen ist über die erfolgende Drittlandübermittlung zu informieren (Art. 15 DSGVO). Zudem ist auch im Ver-zeichnis von Verarbeitungstätigkeiten eine Übermittlung ins Drittland zu dokumentieren (Art. 30 DSGVO).

Gerne beraten wir Sie auch persönlich zu diesem und weiteren datenschutzrechtlichen Themen.